计算机网络课程设计实验报告完整版(移动公司网络设计)

计算机网络训练课程设计
题目移动公司网络结构设计
专业班级
学生姓名
学号
指导教师
2011年 3月 1 日
目录
第一章课题确定…………………………………………………………… 1.
1.1 概述与课题选择 (1)
1.2 网络结构设计的目标和作用 (1)
第二章需求分析 (1)
2.1 公司大楼结构分布 (1)
2.2 行政结构 (1)
2.3 各部门功能需求分析 (2)
2.4 信息点的设置 (2)
2.5 接入INTERNET方式 (2)
第三章系统总体规划和实现功能 (3)
3.1 网络系统设计原则、系统建设目标 (3)
第四章网络系统硬件环境设计
4.1 网络拓朴结构设计 (3)
4.1.1 公司中心局域网拓朴结构设计（即核心层） (4)
4.1.2 各部门网络拓朴结构的设计（即汇聚层） (5)
4.2 传输方式的设计 (5)
4.2.1 网络拓朴结构的设计 (5)
4.3 网络互联设备的选购 (6)
4.3.1 交换机 (6)
4.3.2 交换机的选择 (6)
4.3.3 路由器 (8)
第五章网络系统软件环境设计 (8)
5.1 操作系统及应用软件 (8)
5.1.1 网络操作系统的选购 (9)
5.1.2 应用软件的选购 (9)
5.1.3 网络防火墙的选购 (9)
5.2 网络安全 (9)
5.2.1 网络系统安全风险分析 (10)
5.2.2 安全需求与安全目标 (11)
5.2.3 网络安全策略 (12)
5.2.4 系统安全目标 (12)
5.3 网络安全方案总体设计 (12)
5.3.1 安全方案设计原则 (13)
结束语 (13)
第一章课题确定
1.1 概述与课题选择
随着现代科技的发展及计算机技术与通讯技术的结合，人们已经不再满足原有的办公方式，办公自动化、网络化的需求逐日增加。

计算机网络技术营造了一个现代化的高效、快捷、安全的办公环境，也使计算机的功能得到了充分的发挥。

作为社会基础设施之一的中国移动通信公司，充分利用网络技术，为人们的生活和工作提供了许多便利，在信息化高度发展的今天，起着至关重要的作用。

本次实验以某市移动公司为例，对该企业进行整体网络结构设计与规划。

1.2 网络结构设计的目标和作用
每个部门的PC都设置不同等级访问权限，严格管理浏览、查看、修改和更新操作。

除权限等级高的部门外，其余部门均实现资源共享。

可实现对数据的安全、集中管理，有较高的网络安全性和稳定性。

第二章需求分析
2.1 公司大楼结构分布
2.2 行政结构
本公司行政结构分为经理室、副经理室、市场部、综合部、客户服务部和建设维护五个部门。

2.3 各部门功能需求分析
●市场部：负责市场信息的收集及分析。

进行数据业务推广的相关工作。

对全县各乡镇人
代办点反馈的客户信息进行研究分析，以形成行业分析模板及定期行业分析报告，提供个性化解决方案。

●客户服务部：负责受理10086客户投诉，普通客户业务咨询，做好VIP客户的咨询和接待
工作，统计每天客户业务开通量及相关费用。

●综合部：负责制订季度、年度工作计划及各部门月绩效考核，负责处理移动集团用户网
的咨询工作等。

●建设维护部：负责监控全县移动基站的运行情况，做好基站故障处理、维护工作。

2.4 信息点的设置
一楼：客户管理室（3台PC） VIP接待室（2台PC）营业厅（5台PC）仓库（1台PC）二楼：代办点管理室（1台PC）市场部主任室（3台PC）运维办公室（1台PC）综合部主任室（3台PC）综合会议室（1台PC）
三楼；大客户经理室（3台PC）副经理室（1台PC）经理室（1台PC）
四楼：监控机房（3台PC）
2.5 接入INTERNET方式
①电话拨号（Modem）
下行（从网络到用户）速度最大为56kbit/s，上行（从用户到网络）速度最大为33.6 kbit/s
② ISDN
下行（从网络到用户）速度最大为128kbit/s，上行（从用户到网络）速度最大为56 kbit/s
③ ADSL
上行速率（最高1Mbit/s）和下行速率（最高8Mbit/s）
④ Cable Modem
上行数据传输速率为320～5120kbit/s或640～10240kbit/s。

下行数据传输速率为
30.342Mbit/s或 42.884Mbit/s
⑤宽带专线接入
提供DDN、帧中继、ATM、VDSL、LAN等多种专线接入方式
鉴于各种业务的需要，本网络采用DDN专线接入方式。

其应用优势有：
①传输质量高，时延小，通信速率可以自主变化。

②路由自动迂回，保证电路高可用率。

③采用点对点或点对多点的专用数据线路，特别适用于业务量大、实时性强的用户。

④网管中心能以图形化的方式对网络设备进行集中监控，电路的连接、测试、告警、路由迂回均由计算机自动完成，使网络管理智能化，减少不必要的人为错误。

⑤专线入网线路稳定，并可获得真实的Internet IP地址，便于企业在互连网上建立网站、
树立企业形象、服务广大客户。

第三章系统总体规划和实现功能
3.1 网络系统设计原则、系统建设目标
本局域网核心部分采用2台思科公司的Catalyst 2924 10/100 Mbps自适应以太网交换机。

若用户数较多可以将两台10/100 M交换机级联或者堆叠)，网络服务器和所有联网计算机连接在快速的10/100 Mbps端口上，既保证了网络服务器具有较高的速度为所有联网计算机服务，也使联网计算机能够以10/100Mbps独占的速度在网络上通讯。

该小型局域网建设目标是满足日常办公、文件和打印共享等基本应用。

原则上，这种规模的网络，采用共享方式并不会对工作效率有太大影响，尤其应用在办公领域。

但是，考虑到今后的业务量大等特点宜选择使用10/100M共享式交换机。

由于使用的设备数量小，投资少，即使需要更新设备，原有投资损失也不很大。

系统功能：1.实现资源共享2.实现共享打印
3.实现办公自动化
4.配合internet访问子模块可
5.以实现访问INTERNET
6.配合上层应用能够实现企业智能化管理
第四章网络系统硬件环境设计
4.1 网络拓朴结构设计如下图所示：
工作站
工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站工作站
4.1.1 公司中心局域网拓朴结构设计（即核心层）如下图所示：
核心层设计
核心层位于网络中心，采用二组交换机，相互堆叠后与路由器相连，以达到冗余的目的。

DNS服务器、E-MAIL服务器和WEB服务器均通过百兆网卡与路由器相连，并通过100M网卡与冗余交换机相连。

安全设计
为安全起见，在企业网与Internet之间安装防火墙，将既有公用数据需要发布又有专用数据需要保护的Web服务器、DNS（或FTP）服务器、MAIL服务器通过防火墙与企业网及Internet 连接。

4.1.2 各部门网络拓朴结构的设计（即汇聚层）如下图所示：
10M
分布层设计
分布层按各部门分布。

例如不同的部门配置不同的虚拟局域网，分布层为不同的虚拟局域网之间配置路由，并进行地址转换，使每一局域网中的计算机都能将其内部地址转换成合法的Internet地址，访问Internet。

访问层设计
公司大楼中，多功能功能会议室、监控机房各组成一个局域网，这样的局域网连接到交换机上。

4.2 传输方式的设计
4.2.1 网络拓朴结构的设计
一种典型的层次型拓扑结构是三层层次模型（核心层、分布层和访问层）。

三层层次模型向上可以扩大到大型互连网络，向下也可以用于交换式网络或桥接网络。

三层层次拓扑结构中的核心层是互连网络的高速主干。

它提供场点之间的优化传输路径。

核心层对互连至关重要，因此必须用冗余组件设计核心层，并保持有限和一致的范围。

对于需要通过外部网络或经Internet连接到其他企业的用户来说，核心层拓扑结构应当包括一条或多条连接到外部网络的链路。

网络的分布层是网络的核心层与访问层之间的分界点。

它将网络服务连接到访问层，并实现安全、流量负载和选路的策略。

分布层通常用于描述广播域（尽管该功能在访问层也可以实现）。

如果计划实现一个虚拟局域网，那么分布层可以配置为VLAN之间的路由。

分布层
允许核心层连接多个地点，同时保持较高的性能。

为了保持核心层的高性能，分布层可以在耗用带宽的访问层选路协议和优化的核心层选路协议之间重新发布。

为了提高选路协议的性能，分布层可以汇总访问层的路由。

对一些网络而言，分布层提供了一个到访问层路由器的默认路由，并且仅当与核心层路由器通信时才运行动态选路协议。

分布层的另一个功能是地址转换。

利用地址转换，访问层中的设备可以使用专用内部地址。

地址转换功能将该专用内部地址转换为合法的Internet地址，并能使这些分组在Internet上传输。

访问层为端用户提供了在局部子网访问互连网络的能力。

它包括路由器、交换机、网桥和共享媒体的集线器。

访问层可以使用诸如ISDN、帧中继、租用数字线路和模拟调制解调器等广域网技术提供对公司互连网络的访问。

一般情况下，有两种基本的拓扑结构能用于建立小型企业局域网，它们是星型结构和总线拓扑结构。

如果网络较大，可以在这两种拓扑结构的基础上进行扩展，形成混合型拓扑结构（多星或树型结构等）。

如果网络覆盖面积很大，就要考虑使用更高性能的交换机或路由器这样的网络互连设备建立网络主干，并在此主干基础上建立更为复杂的网络拓扑结构。

因此，针对本网络的规模，选择星型拓扑结构较为适宜。

这里需要考虑：
(1)网络传输媒体长度和传输速率会受到限制。

(2)网络互连设备，用于连接不同的物理段。

(3)网络中设备的数量(信息点数)，对共享式以太网，使用广播方式交换数据，网络中设备过多会导致拥塞，并使性能迅速下降。

对交换式以太网，受交换技术(级连级数或堆叠个数)的限制，站点数有限。

(4)媒体接入机制，决定单个设备如何竞争网络媒体或获取对网络媒体的访问。

在共享式以太网中，每一台客户机都要争夺本地媒体的访问权。

4.3 网络互联设备的选购
4.3.1 交换机
从OSI体系结构上来看，普通的以太网交换机属于数据链路层上的设备，它不仅对数据的传输起到同步、放大和整形作用，而且还能在数据传输过程中过滤短帧、碎片等，不会出现数据包丢弃、传送延时等现象，保证了数据传输的正确性。

从工作方式上来看，交换机检测到某一端口发来的数据包，根据其目标地址，查找交换机内部的“端口—地址”表，找到对应的目标端口，打开源到目标端口之间的数据通道，将数据包发送到对应的目标端口上。

当不同的源端口向不同的目标端口发送信息时，交换机就可以同时互不影响地传送这些信息包，并防止传输碰撞，隔离冲突域，有效地抑制广播风暴，提高网络的实际吞吐量。

从带宽上来看，交换机上每个端口都独占带宽，对12个端口10M的交换机，总带宽为12*10=120M。

同时交换机还支持全双工。

从维护角度上来看，普通交换机的维护比较简单的。

通过交换机上的指示灯就能确定哪些端口上的计算机网卡或网线有故障，并予以排除。

4.3.2 交换机的选择
背板带宽
背板带宽是交换机接口处理器或交换模块和数据背板总线间所能吞吐的最大数据量。

它标志着一个交换机总的吞吐能力。

通常，背板带宽（全双工模式下）至少等于“端口数 * 端口速率 * 2”。

包转发率
包转发率指每秒转发数据包的数量，单位为Mpps（百万包/每秒）。

通常为几Mpps到几百Mpps。

端口类型
端口类型指交换机上的端口是以太网、令牌环、FDDI还是ATM等。

固定端口交换机只有单一类型的端口，中高端模块化交换机提供不同介质类型的模块，实现以太网、令牌环、FDDI 等的互连。

端口速率
端口速率指交换机端口提供给数据资源设备独享的带宽，体现了交换机端口每秒吞吐多少数据包的能力。

通常有10Mbit/s、100Mbit/s、10/100Mbit/s自适应、1000Mbit/s、万兆位/s。

端口密度
是指一台交换机所支持的最大端口数量。

端口密度是在所有模块插槽都插满模块的情况下计算出来的。

选用模块不同，端口密度值也不同。

能否使用光纤
如果布线中必须选用光纤，则需要选择光纤接口交换机（价格较高），或加装光纤模块，或加装双绞线与光纤的转发器。

冗余模块
冗余模块用在模块化的交换机上，用以提高设备的容错能力，避免模块失效引起系统崩溃。

常用的冗余模块包括超级引擎模块、交换矩阵模块和电源模块，它们都是影响系统能否正常工作的重要模块。

堆叠能力
堆叠能力包括堆叠的带宽、堆叠的层数两个重要指标。

只有同类的交换机才能互相堆叠在一起，不同类型的交换机其堆叠端口、堆叠线缆和堆叠协议都不相同，只能级连，不能堆叠。

有两种堆叠连接方式，一种是从堆叠矩阵中心堆叠模块引出线缆到各交换机（带宽约几Gbit/s），另一种是交换机之间互相连接起来（带宽约1Gbit/s）。

堆叠的层数为4到9台不等。

VLAN数量
考虑对VLAN的支持能力和支持数量。

目前大多数交换机都支持1000个以上的VLAN。

MAC地址数量
MAC地址数量是指交换机的CAM表中可以最多存储多少个MAC地址，存储的MAC地址数量越多，数据转发的速度和效率就越高。

此指标数值通常为几千到几万。

CISCO Catalyst 2924C XL 主要参数
4.3.3 路由器
Cisco 1700系列模块化接入路由器为中小型企业和大型企业的小型分支机构提供了一种价格低廉的、集成化的接入平台。

这款基于Cisco IOS的路由器可以提供高速的网络接入、全面的安全功能、三层交换能力和多服务数据/语音/视频/传真集成，可以满足最严格的业务需求。

第五章网络系统软件环境设计
5.1 操作系统及应用软件
5.1.1 网络操作系统的选购
目前，常见的局域网操作系统主要有NetWare、Windows NT Server和Unix这三种。

由于这个企业局域网物理跨度不大，主要用途是方便企业内部人员资源共享。

因此，可以选用Windows 2000 server网络操作系统作为本网络的操作平台。

Windows NT是32位多用户、多任务的NOS，也是一种面向分布式图形应用程序接口的平台系统。

其特点有：
●单机与网络（服务器）管理方式相互兼容（统一）。

●在桌面环境（图形化界面）下实现通信、服务应用与管理操作
●首次提出采用域（Domain）层次结构管理用户和网络资源。

●集成了用于建立和管理网络服务的软件，如FTP、DNS、DHCP等。

5.1.2应用软件的选购
选择防毒软件的标准：
1、“高侦测率”是基本条件；
未知病毒检测能力、未知病毒清除能力
压缩文件查毒（不限层数）、压缩文件清毒（不限层数）
打包文件查毒（不限层数）、打包文件清毒（不限层数）
内存查毒、内存清毒、运行文件清毒
2、“容易管理”是基本要求；
3、未知病毒“隔离政策”是关键。

由于这个企业局域网主要是方便内部员工进行资源共享。

因此，选用瑞星：Rishing 杀毒软件。

瑞星杀毒软件2007下载版，是基于第八代虚拟机脱壳引擎(VUE)研制开发的新一代信息安全产品，能够准确查杀各种加壳变种病毒、未知病毒、黑客木马、恶意网页、间谍软件、流氓软件等有害程序，在病毒处理速度、病毒清除能力、病毒误报率、资源占用率等主要技术指标上实现了新的突破。

同时用户可以免费下载安装包，具有免费查毒和实时监控功能，无需用户每次都连接到互联网就能免费查毒。

5.1.3 网络防火墙的选购
防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。

它是不同网络或网络安全域之间信息的唯一出入口。

对防火墙的两大需求：
●保障内部网安全
●保证内部网同外部网的连通
瑞星网络防火墙具有保护网络安全，免受黑客攻击的功能。

其采用增强型指纹技术，有效的监控网络连接。

内置细化的规则设置，使网络保护更加智能。

游戏防盗、应用程序保护等高级功能，为个人电脑提供全面安全保护。

通过过滤不安全的网络访问服务，极大地提高了用户电脑的上网安全。

彻底阻挡黑客攻击、木马程序等网络危险，保护上网帐号、QQ密码、网游帐号等信息不被窃取。

5.2 网络安全
5.2.1 网络系统安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。

原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重。

针对这个企业局域网中存在的安全隐患，在进行安全方案设计时，下述安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。

下述风险由多种因素引起，与这个企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。

下面列出部分这类风险因素。

网络安全可以从以下三个方面来理解：1、网络物理是否安全；2、网络平台是否安全；
3、系统是否安全；
4、应用是否安全；
5、管理是否安全。

针对每一类安全风险，结合这个企业局域网的实际情况，我将具体的分析网络的安全风险。

1、物理安全风险分析
网络的物理安全的风险是多种多样的。

主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；线路截获等。

它是整个网络系统安全的前提，在这个企业局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。

它主要包括三个方面：环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》
设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；
媒体安全：包括媒体数据的安全及媒体本身的安全。

2、网络平台的安全风险分析
网络平台的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。

安全的应用往往是建立在网络系统之上的。

网络系统的成熟与否直接影响安全系统成功的建设。

在这个企业局域网络系统中，只使用了一台路由器，用作与Internet连接的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。

3、系统的安全风险分析
所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。

这里主要对操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。

因此，不但要选用尽可能可靠的操作系统和硬件平台。

而且，必须加强登录过程的认证（特别是员工查看工资、绩效考核的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

4、应用的安全风险分析
应用的安全性涉及到信息、数据的安全性；信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。

由于这个企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。

对于有些特别重要的信息需要对内部进行保密的（比如领导PC、财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在软件上进行加密。

5、管理的安全风险分析
管理是网络安全中最重要的部分。

责权不明，管理混乱、安全管理制度不健全以及缺乏可操作性等都可能引起管理安全的风险。

责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。

6、黑客和病毒的攻击
前段时间广泛传播的“熊猫烧香”、“灰鸽子”病毒给我们的生活带来严重损失。

计算机病毒一直是计算机安全的主要威胁。

能在Internet上传播的新型病毒，例如通过E-Mail传播的病毒，增加了这种威胁的程度。

病毒的种类和传染方式也在增加，目前有关国际组织统计的病毒总数已达上万甚至更多。

当然，查看文档、浏览图像或在Web上填表都不用担心病毒感染，然而，下载可执行文件和接收来历不明的E-Mail文件需要特别警惕，否则很容易使系统导致严重的破坏。

建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。

7、不满的内部员工
不满的内部员工（如内部网络管理员）可能利用自己的技能优势在WWW站点上开些小玩笑，甚至破坏。

不论如何，他们都熟悉公司服务器、小程序、脚本和系统的弱点。

对于已经离职的不满员工，可以通过定期改变口令和删除系统记录以减少这类风险。

但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。

5.2.2 安全需求与安全目标
安全需求分析
通过前面对这个企业局域网络结构、应用及安全威胁分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。

因此，必须采取相应的安全措施杜绝安全隐患，其中应该做到：
公开服务器的安全保护
入侵检测与监控（防火墙技术）
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个企业局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求：
1、大幅度地提高系统的安全性（重点是可用性和可控性）；
2、易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；
3、尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；
4、安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；
5、安全产品具有合法性，及经过国家有关管理部门的认可或认证；
6、分布实施。

5.2.3 网络安全策略
安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。

该安全策略模型包括了建立安全环境的三个重要组成部分，即：
威严的法律：安全的基石是社会法律、法规与手段，这部分用于建立一套安全管理标准和方法。

即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

先进的技术：先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。

严格的管理：各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。

5.2.4 系统安全目标
基于以上的分析，我们认为这个局域网网络系统安全应该实现以下目标：
建立一套完整可行的网络安全与网络管理策略
将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信
建立网内各主机和服务器的安全保护措施，保证他们的系统安全
加强合法用户的访问认证，同时将用户的访问权限控制在最低限度
全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客病毒攻击行为
加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志
备份与灾难恢复——强化系统备份，实现系统快速恢复
加强网络安全管理，提高系统全体人员的网络安全意识和防范技术
5.3 网络安全方案总体设计
5.31安全方案设计原则
在对这个企业局域网网络系统安全方案设计、规划时，应遵循以下原则：
综合性、整体性原则：应用网络工程的观点、方法，分析网络的安全及具体措施。

安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（密码、防病毒、采用高安全产品等）。

一个较好的安全措施往往是多种方法适。